Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).

Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).

Одиннадцатого декабря прошлого года вышел бюллетень Microsoft, связанный с уязвимостью, обнаруженной в Microsoft File Handling Component. Уязвимости был присвоен ранг критической и категория Remote code execution. Удаленное выполнение кода происходит при открытии жертвой общего сетевого ресурса с содержимым, сформированным злоумышленником особым образом. Подробности эксплуатации приводятся в данном отчете.

Результаты, были получены на Windows XP SP3 x86. Сама уязвимость находится в функциях FindFirstFileExW и FindNextFileExW библиотеки kernel32.dll, которые осуществляют копирование данных, полученных из нативной функции NtQueryDirectoryFile, с помощью memmove. Проблема заключается в том, что в качестве размера буфера-источника для функции копирования передается число, полученное из NtQueryDirectoryFile, хотя возможна ситуация, при которой размер буфера-приемника может быть меньше, чем результат выдачи NtQueryDirectoryFile.

Влияние данной уязвимости распространяется на все приложения, использующие функции семейства FindFirstFile/FindNextFile. Первым таким приложением, которое пришло мне в голову, было explorer.exe. Для эксплуатации злоумышленнику достаточно будет заставить пользователя открыть ссылку на зловредный ресурс, и при удачном исходе он сможет получить возможность исполнить код с правами пользователя, открывшего ссылку. Сценарий удаленной эксплуатации, как подсказывает раздел FAQ бюллетеня Microsoft, возможен через UNC share или через WebDAV-путь. Путь UNC (Universal Naming Convention) может указывать на сетевой ресурс обмена файлами, который работает на основе протокола SMB. Для теста был выбран Linux с сервисом Samba, который позволяет создавать «расшаренные» папки на основе этого протокола. В итоге хотелось смоделировать следующую схему удаленной атаки.

Чтобы понимать, в каком хрупком цифровом мире мы сейчас живем, не обязательно читать новости: достаточно посмотреть сериалы. Николас Броуди из Homeland дает террористу код от кардиостимулятора вице-президента США, противник Декстера взламывает компьютер, чтобы скомпрометировать главного героя, а персонаж Breaking Bad размагничивает жесткий диск с уликами в ноутбуке полицейского отделения.

Благодаря всеобщей компьютеризации современные злоумышленники могут одинаково легко телепортировать любую необходимую команду что домашнему телевизору с оболочкой SmartTV, что промышленному роботу на автомобильном заводе. Ежедневно во всем мире регистрируется 10 млн атак на компьютерные сети.

Проводя ежегодный конкурс среди молодых исследователей, мы пытаемся понять — есть ли в стране, которую населяют страшные «русские хакеры», молодые и талантливые специалисты по защите информации, способные в будущем остановить надвигающийся на планету хаос?

Всем привет! В одной из наших предыдущих статей мы рассказали о реализации функции асинхронного пинга в рамках задачи по созданию «пингера» для его дальнейшего использования при пентестах организаций с большим количеством рабочих станций. Сегодня мы поговорим о покрытии нашего пингера (логика и сетевая часть) модульными тестами.

Понятно, что необходимость написать код, который пройдет тестирование, — дисциплинирует и помогает грамотнее планировать архитектуру. Тем не менее, первая мысль о покрытии юнит-тестами асинхронного кода на Boost.Asio была примерно такая: «Что?! Это абсолютно невозможно! Как можно написать тест, основанный на сетевой доступности узла?»

А вы никогда не задумывались над тем, что же происходит с операционной системой в тот момент, когда она рисует свой логотип и говорит «Starting Windows»? И вообще, почему она долго загружается? Ведь при старте системы уж точно не решаются никакие задачи, сложные с вычислительной точки зрения!

Что тогда подразумевает под собой загрузка операционной системы? По большей части это проецирование в память исполняемых модулей и инициализация служебных структур данных. Структуры данных живут в памяти, поэтому операции с ними по идее должны быть быстрыми. Все наталкивает на мысль о том, что время съедается именно процессом загрузки исполняемых модулей в память.

Давайте интереса ради разберемся, какие модули, в каком количестве и в каком порядке загружаются при старте ОС. Чтобы выяснить это, можно, например, получить лог загрузки системы. Подопытная ОС в моем случае — Windows 7 Enterprise x64. Логировать процесс загрузки будем при помощи отладчика ядра. Существует несколько вариантов отладчиков ядра, лично я предпочитаю WinDbg. Также нам понадобятся некоторые вспомогательные средства для волшебного превращения лога в нечто более приятное глазу.

15—17 декабря 2012 года прошли отборочные соревнования под названием PHDays CTF Quals. Более 300 команд боролись за право участия в конкурсе PHDays III CTF, который состоится в мае 2013 года в рамках международного форума PHDays III. В течение последних двух месяцев наша команда усиленно разрабатывала задания для отборочных соревнований, и эту статью мы решили посвятить разбору одного из них – Binary 500. Данное приложение весьма необычно, поэтому ни одна команда не смогла достать флаг, спрятанный в ее недрах.

Исполняемый файл представляет собой MBR-буткит, использующий технологию аппаратной виртуализации (Intel VT-x). В связи с этим мы решили сразу предупреждать пользователей, что приложение может нанести вред системе, и что его нужно запускать на виртуальной машине или эмуляторе.



Предупреждение и лицензионное соглашение

ASLR — это Address Space Layout Randomization, рандомизация адресного пространства. Это механизм обеспечения безопасности, который включает в себя рандомизацию виртуальных адресов памяти различных структур данных, чувствительных к атакам. Расположение в памяти целевой структуры сложно предугадать, поэтому шансы атакующего на успех малы.

Реализация ASLR в Windows тесно связана с механизмом релокации (relocation) исполняемых образов. Релокация позволяет PE-файлу загружаться не только по фиксированной предпочитаемой базе. Секция релокаций в PE-файле является ключевой структурой при перемещении образа. Она описывает, какие необходимо внести изменения в определенные элементы кода и данных для обеспечения корректного функционирования приложения по другому базовому адресу.

Время от времени специалисты по защите информации встречаются на соревнованиях, проводимых по принципу Capture the Flag, чтобы лицом к лицу узнать, кто лучше умеет защищаться или нападать. Такие состязания привлекают все больше зрителей.

Вы знакомы с поиском уязвимостей и желаете поучаствовать?

В декабре стартует PHDays CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF. Шансы равны у всех: не только известные команды, но и начинающие исследователи могут попробовать завоевать путевку в финальную стадию хакерской битвы. Турнир пройдет в конце мая 2013 года на международном форуме Positive Hack Days III.

Формируйте свою команду, подавайте заявку — и вперед!

Итак, начнем. В июле 2011 года Roee Hay и Yair Amit из IBM Research Group обнаружили UXSS-уязвимость в используемом по умолчанию браузере Android. Эта ошибка позволяет вредоносному приложению внедрить JavaScript-код в контекст произвольного домена и захватить файлы Cookies или произвести другие вредоносные действия. Эта уязвимость была устранена в версии Android 2.3.5.

21 июня 2012 года для Android был выпущен Google Chrome. Я смог найти в нем весьма интересные ошибки. Взгляните сами.

Атомные и гидроэлектростанции, нефте- и газопроводы, заводы, транспортные сети (метро и скоростные поезда), а также многие другие жизненно важные для человечества системы управляются с помощью различных компьютерных технологий.

Широкий интерес к защищенности промышленных систем возник после серии инцидентов с вирусами Flame и Stuxnet, которые стали первыми ласточками эпохи кибервойн. В России же есть еще один повод обратить внимание на защищенность подобных систем — новые требования регуляторов, направленные на повышение безопасности АСУ ТП (ICS/SCADA/PLC).

Для выбора адекватных мер безопасности необходимо понимать, какими возможностями обладает киберпреступник и какие векторы нападения он может использовать. Чтобы ответить на эти вопросы эксперты Positive Technologies провели исследование безопасности АСУ ТП (ICS/SCADA). Результаты под катом.

Одним из этапов сканирования узла на наличие уязвимостей является определение его сетевой доступности. Как известно, сделать это можно несколькими способами, в том числе и посредством команды ping.

Для одного из проектов по анализу защищенности в организации с большим количеством рабочих станций нам понадобилось разработать собственный «пингер».

Всем привет! Приглашаем вас выступить с докладами в программе международного форума по практической безопасности Positive Hack Days III, который состоится 22-23 мая 2013 года.

Прошедший в 2012 году форум собрал 1500 специалистов по ИБ со всего мира. Состоялось более 50 докладов, мастер-классов, семинаров и круглых столов. Среди выступавших были виднейшие представители отрасли, такие как Брюс Шнайер и председатель IMPACT Датук Мохд Нур Амин. Александр Гостев из «Лаборатории Касперского» впервые подробно рассказал о шпионской программе Flame, а Хейзем Эль Мир поведал о противостоянии Туниса и Anonymous. На PHDays 2012 успешно взламывали Apple iPhone, Windows XP и FreeBSD, моделировали ситуации похищения финансовых средств из банкоматов и систем ДБО и захват управления над промышленными объектами через АСУ ТП (SCADA).

Если вы хотите поделиться своим опытом, результатами исследований или продемонстрировать свои навыки, то в конце мая 2013 года мы ждем вас в Москве. Без вас это событие не состоится!

Эта статья – вторая в ряде публикаций, посвященных уязвимостям генераторов псевдослучайных чисел (ГПСЧ).

В последнее время появился целый ряд публикаций, описывающих уязвимости ГПСЧ, начиная от самых основ ([1]) и заканчивая непосредственно уязвимостями в различных языках программирования и реализованных на их основе CMS и другого ПО ([2],[3],[4]).

Эти публикации популярны по той причине, что ГПСЧ – основа многих аспектов безопасности веб-приложений. Псевдослучайные числа/последовательности символов используются для обеспечения безопасности веб-приложений в:

• генерации различных токенов (CSRF, токены сброса пароля и т.д.);
• генерации случайных паролей;
• генерации текста в CAPTCHA;
• генерации идентификаторов сессий.

В прошлой статье мы, опираясь на исследования George Argyros и Aggelos Kiayias ([3]) научились предугадывать случайные числа в PHP на основе PHPSESSID и уменьшать различными способами энтропию псевдослучайных чисел.

Сейчас мы рассмотрим ГПСЧ в веб-приложениях, разработанных на языке Python.

Сегодня я не буду рассказывать вам, как устроена система безопасности iOS 5. И мы не будем собирать крохи информации через недокументированные возможности. Мы просто отправим SMS из приложения без ведома пользователя.

Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.

Инспекция кода — это хорошо. Мы используем эту технику в своих проектах не так давно — около трех месяцев, — однако положительные результаты налицо. Мы уже рассказывали на Хабре о внедрении инспекций в процесс разработки, о документообороте при инспекциях, рассказывали о том, как можно оптимизировать процесс инспектирования с помощью инструмента Code Collaborator. Сегодня мы хотим подвести итоги и представить результаты, которых нам удалось достичь за время инспектирования. Поехали!..

На проходившей в эти дни в Москве конференции InfoSecurity 2012 рассматривалось большое количество актуальных вопросов сферы ИБ. Наша компания приняла в нем участие, став организатором одной из секций, посвященной тем областям информационной безопасности, для которых по большей части еще не выработаны адекватные меры защиты. Прежде всего это защищенность АСУ ТП, практические подходы к аудиту SCADA, построение процессов Compliance Management для телекоммуникационных сетей и новейшие уязвимости мобильных устройств. Подробности докладов, а также слайды презентаций наших сотрудников под катом.

С приходом нового поколения процессоров Intel на базе архитектуры Ivy Bridge было представлено новое аппаратное средство безопасности. Оно называется Intel SMEP. Как и бит NX, предотвращающий исполнение кода на странице памяти, оно добавляет головной боли при эксплуатации уязвимостей режима ядра.

В свою очередь Microsoft реализовала поддержку SMEP в Windows 8, таким образом сделав эту ОС ещё безопасней. Однако, первая реализация «в лоб» поддержки SMEP получилась с небольшим изъяном, благодаря которому у атакующего всё ещё есть возможность относительно безболезненной для него эксплуатации уязвимостей.

Жизнь не стоит на месте, все изменяется и развивается. Это относится и к нашим проектам, в частности к онлайн-сервису для проверки безопасности браузера и плагинов SurfPatrol. Не так давно мы анонсировали на Хабре выпуск расширения для Google Chrome, на подходе расширения для Opera, Firefox и Safari. Но это еще не все.

Пару месяцев назад в ходе работы над новым дизайном сайта www.surfpatrol.ru мы обратились к Хабрасообществу с просьбой оценить наши наработки и дать рекомендации по улучшению интерфейса. Топик вызвал определенный интерес, удалось собрать большое количество отзывов и предложений, многие из которых нашли свое отражение в новом дизайне.

Мы старались сделать внешний вид сервиса более удобным и наглядным (никакого дизайна ради дизайна!) и сегодня представляем вам обновленный SurfPatrol.

За последнее десятилетие мобильные технологии прочно вошли в нашу жизнь, и мобильный телефон из предмета роскоши превратился в средство повседневного общения. В любой момент иметь доступ к нужной информации, всегда и везде быть на связи — насущная необходимость сегодняшнего дня. Даже мобильная видеосвязь — уже далеко не фантастика…

Почему мобильные технологии стали настолько доступными? Как они будут развиваться дальше? Продолжит ли расти скорость мобильной передачи данных? Чтобы подробно ответить на множество вопросов, мы разработали цикл вебинаров, посвященный мобильным технологиям.